如何識(shí)別AI安全風(fēng)險(xiǎn)？中國(guó)工程院院士鄔江興：盡量避免使用單一模型，要交叉驗(yàn)證

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2024-05-21 14:42:55   瀏覽：4321次  

每經(jīng)記者：張蕊每經(jīng)編輯：陳星

參展者登上自行車(chē)開(kāi)始騎行，此時(shí)心率計(jì)、功率計(jì)、踏頻器等分別采集數(shù)據(jù)并上傳，屏幕上實(shí)時(shí)顯示騎行距離、速度、心率、踏頻等各類(lèi)隱私數(shù)據(jù)……

這是在5月17日至19日舉行的2024年第十二屆西湖論劍數(shù)字安全大會(huì)數(shù)字安全建設(shè)成果展上的一幕。該展位工作人員向記者介紹：“我們通過(guò)這種形式來(lái)展示數(shù)據(jù)分類(lèi)分級(jí)的過(guò)程，以及在傳輸中如何借助大模型檢測(cè)潛在的數(shù)據(jù)泄漏、惡意攻擊等威脅。”

近一段時(shí)間以來(lái)，以大模型為代表的AI（人工智能）技術(shù)持續(xù)火爆，在驚喜于大模型的“聰明能干”時(shí)，很多人也開(kāi)始隱隱擔(dān)憂：當(dāng)我們?cè)诟�大模型�?duì)話時(shí)，會(huì)不會(huì)造成個(gè)人信息或者商業(yè)機(jī)密的泄露？AI在帶來(lái)便捷與紅利的同時(shí)，還會(huì)帶來(lái)哪些安全方面的挑戰(zhàn)？我們又應(yīng)該如何應(yīng)對(duì)？

帶著這些問(wèn)題，《每日經(jīng)濟(jì)新聞》記者在大會(huì)期間采訪了包括院士、專(zhuān)家學(xué)者、網(wǎng)絡(luò)安全頭部企業(yè)在內(nèi)的多位業(yè)界人士。

大會(huì)現(xiàn)場(chǎng) 圖片來(lái)源：每經(jīng)記者 張蕊 攝

挑戰(zhàn)：數(shù)據(jù)安全問(wèn)題日益凸顯

隨著大模型和生成式AI的興起，數(shù)據(jù)安全問(wèn)題日益凸顯。

“一旦交互，肯定會(huì)有數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。比如你的位置、個(gè)人喜好會(huì)在不經(jīng)意間被收集。”浙江大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副教授、杭州市人工智能學(xué)會(huì)副理事長(zhǎng)金小剛接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)說(shuō)：“我們使用大模型的方式是跟它對(duì)話，收集數(shù)據(jù)是肯定存在的，這就需要大家最好不去使用信譽(yù)不好的企業(yè)平臺(tái)。”

中國(guó)科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示：“當(dāng)前，對(duì)生成式AI的安全關(guān)切是多方面的，包括意識(shí)形態(tài)安全和數(shù)據(jù)安全等。”

他舉例說(shuō)，在數(shù)據(jù)安全方面，生成式AI要依靠數(shù)據(jù)來(lái)訓(xùn)練，但數(shù)據(jù)如果被污染了怎么辦？此外，人工智能在訓(xùn)練中有時(shí)要用到個(gè)人信息，甚至是商業(yè)秘密，相關(guān)方的權(quán)益該怎么保證？個(gè)人是不是有信息權(quán)益保護(hù)方面的訴求？

意識(shí)形態(tài)安全方面，生成結(jié)果是否符合法律法規(guī)的要求？這些數(shù)據(jù)的使用是否合法？這些也是大家密切關(guān)注的。

談及大模型在數(shù)據(jù)處理、分析、生成中可能帶來(lái)的數(shù)據(jù)泄露、濫用等風(fēng)險(xiǎn)，科技部網(wǎng)絡(luò)空間安全2030計(jì)劃專(zhuān)家組成員、教育部信息技術(shù)新工科聯(lián)盟網(wǎng)絡(luò)空間安全工委會(huì)主任委員、俄羅斯國(guó)家工程院外籍院士胡瑞敏對(duì)每經(jīng)記者提到了三大安全隱患：數(shù)據(jù)隱私，包括數(shù)據(jù)泄露；模型劫持；內(nèi)容的安全以及合規(guī)合法和安全審計(jì)問(wèn)題。

“這就要求安全技術(shù)必須跟進(jìn)，并且和大模型有機(jī)結(jié)合。”胡瑞敏說(shuō)，據(jù)他了解，國(guó)內(nèi)很多單位已經(jīng)在開(kāi)展這方面工作。

風(fēng)險(xiǎn)：“黑模型”已經(jīng)出現(xiàn)

除了訓(xùn)練、使用大模型帶來(lái)的安全風(fēng)險(xiǎn)，不法分子還會(huì)利用AI深度偽造行騙。事實(shí)上，深度偽造技術(shù)早已出現(xiàn)，最典型的就是AI換臉。

浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人歐陽(yáng)昆潑在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示，在AI時(shí)代，深度偽造技術(shù)的濫用使圖片、視頻的真?zhèn)卧絹?lái)越難鑒別。“深度偽造現(xiàn)在已經(jīng)產(chǎn)生了很多刑事案件。”

不僅如此，現(xiàn)在已經(jīng)出現(xiàn)了“黑模型”基于一些“黑灰產(chǎn)”數(shù)據(jù)訓(xùn)練出來(lái)的大模型，專(zhuān)門(mén)用于詐騙、竊取隱私、“釣魚(yú)”等。他舉例說(shuō)，以前要做一個(gè)釣魚(yú)軟件或者黑客攻擊，技術(shù)門(mén)檻較高，但現(xiàn)在只要輸入指令，“黑模型”就可以生成一個(gè)釣魚(yú)軟件，門(mén)檻非常低。

中國(guó)電信集團(tuán)公司原總經(jīng)理、全球云網(wǎng)寬帶協(xié)會(huì)董事會(huì)主席李正茂在大會(huì)期間對(duì)《每日經(jīng)濟(jì)新聞》記者表示：“我們感到現(xiàn)在對(duì)電信網(wǎng)絡(luò)詐騙應(yīng)對(duì)起來(lái)比較麻煩，如果AI技術(shù)被犯罪分子利用，就會(huì)變得更加麻煩。若要依賴第三方幫你甄別，可能還沒(méi)甄別出來(lái)就已經(jīng)被騙了，這是個(gè)大問(wèn)題，要引起足夠重視。”

探索：用AI防控、治理AI成為安全領(lǐng)域的必選項(xiàng)

每經(jīng)記者注意到，多位專(zhuān)家在演講或受訪中都提到安防領(lǐng)域“道高一尺，魔高一丈”，那么以AI對(duì)抗AI是否是一個(gè)出路？

對(duì)此，中國(guó)工程院院士鄔江興對(duì)《每日經(jīng)濟(jì)新聞》記者表示：“同一個(gè)模型，不能自己檢驗(yàn)自己，但是可以用別的AI模型來(lái)檢驗(yàn)?zāi)愕腁I模型。”

安恒信息董事長(zhǎng)范淵在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示，隨著AI技術(shù)的發(fā)展，威脅也愈發(fā)凸顯。“以AI對(duì)AI、以AI管AI是數(shù)字治理的必然趨勢(shì)。AI讓網(wǎng)絡(luò)攻擊的門(mén)檻更低，更難以防范。用AI來(lái)防控和治理AI，正在成為安全領(lǐng)域的必選項(xiàng)。”

范淵提到，現(xiàn)在很多地方開(kāi)放公共數(shù)據(jù)去訓(xùn)練和支持人工智能產(chǎn)業(yè)，但同時(shí)又很擔(dān)心會(huì)帶來(lái)數(shù)據(jù)和隱私的泄露�；�于機(jī)密計(jì)算的大模型訓(xùn)練與推理，讓這些問(wèn)題得以解決。

他還提到，在內(nèi)容安全方面，也有很多大模型的注入，內(nèi)容的輸入、輸出安全，都是非常具有挑戰(zhàn)的部分，數(shù)據(jù)安全、模型安全、應(yīng)用安全，這些都是讓人工智能更安全的重要部分。“一方面是如何及時(shí)發(fā)現(xiàn)與阻斷虛假內(nèi)容；另一方面是防止侵犯知識(shí)產(chǎn)權(quán)、敏感數(shù)據(jù)泄露以及如何防御提示詞的注入、提示詞的繞過(guò)等。”

AI還可以提升安全問(wèn)題的解決效率。范淵舉例說(shuō)，之前600人/天的數(shù)據(jù)分類(lèi)分級(jí)項(xiàng)目，結(jié)合AI大模型“恒腦”知識(shí)庫(kù)、相關(guān)語(yǔ)義識(shí)別能力、關(guān)聯(lián)推理能力，以及站在業(yè)務(wù)視角的字段理解與注釋?zhuān)�可以協(xié)助人工快速?zèng)Q策判斷，最后只用20人/天就完成了，效率提升30倍。

范淵坦言，也有很多頑疾始終沒(méi)有解決。“產(chǎn)品不夠、服務(wù)來(lái)湊，海量告警數(shù)據(jù)需要靠海量的人去解決。”

“但是AI為這個(gè)行業(yè)、為數(shù)字化建設(shè)帶來(lái)了巨大變革。”范淵直言，AI可以把幾百萬(wàn)個(gè)告警數(shù)量減少到幾萬(wàn)個(gè)，從幾萬(wàn)個(gè)當(dāng)中智能甄別哪些不構(gòu)成威脅或不需要處理，解決了誤報(bào)、待優(yōu)化的內(nèi)容，以及分辨可防御的、已經(jīng)防御完成的告警，最后只留下少量告警需要人工研判，這是人力可處理的。

不過(guò)，在金小剛看來(lái)，AI永遠(yuǎn)是工具，最終起作用的還是人。“在安全問(wèn)題上我永遠(yuǎn)主張創(chuàng)新才是真正解決問(wèn)題的方法。”

應(yīng)對(duì)：多維度、多種AI系統(tǒng)交叉印證

對(duì)于AI帶來(lái)的安全風(fēng)險(xiǎn)，我們?nèi)绾螒?yīng)對(duì)？

鄔江興對(duì)每經(jīng)記者表示，AI目前在科學(xué)上具有不可解釋性，我們沒(méi)辦法對(duì)它的數(shù)學(xué)、物理性質(zhì)作出解釋?zhuān)�這是它基本原理上的缺陷，所以很多人想利用這種缺陷進(jìn)行不法行為。

“我們現(xiàn)在有個(gè)解決辦法，就是通過(guò)基于內(nèi)生安全的AI應(yīng)用系統(tǒng)來(lái)解決。”鄔江興說(shuō)，這種AI應(yīng)用系統(tǒng)是多維度、多種AI系統(tǒng)的交叉印證，不法分子在某個(gè)AI系統(tǒng)上做了手腳，在交叉印證中就會(huì)被發(fā)現(xiàn)。

“任何人在某一個(gè)模型、某一個(gè)數(shù)據(jù)上做手腳是沒(méi)用的，它可能對(duì)A模型有用，但對(duì)B模型沒(méi)用，所以我們用交叉印證來(lái)驗(yàn)證。”鄔江興說(shuō)，就像盲人摸象一樣，一個(gè)人摸，可能認(rèn)為象是圓柱體，但是多角度結(jié)合起來(lái)看才知道象是什么樣子。局部的問(wèn)題我們看不清楚，如果是多個(gè)維度看就能看清問(wèn)題了。

鄔江興演講 圖片來(lái)源：每經(jīng)記者 張蕊 攝

對(duì)于不法分子借助AI工具詐騙的行為，鄔江興表示，AI的特異性決定了不法分子可以用某一個(gè)模型詐騙，但放在另外的模型下可能就不管用，就像如果不法分子進(jìn)行黑客攻擊，他可以攻擊一個(gè)模型，但不能同時(shí)攻擊多個(gè)模型。“所以我們要用多樣性印證。”

鄔江興反復(fù)強(qiáng)調(diào)在應(yīng)用中盡量避免使用單一模型，單一模型如果是在“一本正經(jīng)地胡說(shuō)八道”，使用者是不能判斷的，但是如果其他模型也是這樣的結(jié)果，使用者就可以大致有個(gè)判斷。

“我們不能機(jī)會(huì)主義地去用那些不安全的AI系統(tǒng)，但也不能理想主義地去用絕對(duì)安全的AI系統(tǒng)，因?yàn)椴豢赡芙^對(duì)安全。”鄔江興說(shuō)，這中間怎么權(quán)衡？就是要用多樣性來(lái)保證。使用幾種典型的模型，相互之間進(jìn)行印證。

對(duì)于AI，尤其是深度偽造帶來(lái)的安全風(fēng)險(xiǎn)，胡瑞敏認(rèn)為，首先要對(duì)智能技術(shù)應(yīng)用做一定約束，要實(shí)現(xiàn)可信的智能，對(duì)模型的安全等都要進(jìn)行有效監(jiān)管；其次，要提升深度偽造的檢測(cè)技術(shù)，應(yīng)該有全局布局，確保深度偽造的風(fēng)險(xiǎn)可控。

這些鑒別技術(shù)普通人是否易得？胡瑞敏表示，我們有很多深度偽造的鑒別技術(shù)，很容易做成工具為大眾所使用。“當(dāng)然，由于智能技術(shù)發(fā)展非常快，也越來(lái)越成熟，這也給鑒別技術(shù)提出了新的要求。”

每日經(jīng)濟(jì)新聞

贊助本站